[ANTIVIRUS E SICUREZZA] TOOLS DI RIMOZIONE

Hack3rMinD

Posted on 6/7/2010, 11:09

+1 Like

User deleted

GUIDA: COME COMPORTARSI IN CASO DI INFEZIONE

Per prima cosa è bene proporre una breve descrizione delle tipologie di virus informatici:

Le backdoor sono le "porte di servizio" che consentono di superare in parte o in tutto le procedure di sicurezza attivate in un sistema informatico. Queste "porte" possono essere intenzionalmente create dai gestori del sistema informatico per permettere una più agevole opera di manutenzione dell'infrastruttura informatica mentre più spesso da cracker intenzionati a manomettere il sistema. Possono anche essere installate autonomamente da alcuni malware (come virus, worm o trojan), in modo da consentire ad un utente esterno di prendere il controllo remoto della macchina senza l'autorizzazione del proprietario. Un esempio celebre è il programma Back orifice, che attiva una backdoor sul sistema in cui viene installato, dando la possibilità a chiunque ne conosca l'indirizzo di controllare la macchina.

I keylogger sono semplici programmi o driver di periferica che rimangono in esecuzione captando ogni tasto che viene digitato e poi, in alcuni casi, trasmettono tali informazioni ad un computer remoto. Spesso i keylogger sono trasportati ed installati nel computer da worm o trojan ricevuti tramite Internet ed hanno in genere lo scopo di intercettare password e numeri di carte di credito ed inviarle tramite posta elettronica al creatore degli stessi.

Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di "programma malvagio"; in italiano è detto anche codice maligno. Attualmente i malware vengono utilizzati per inviare grandi quantità di file non richiesti dall'utente; quest'ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti, cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità (nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.

Spyware è un termine generico utilizzato per descrivere il software che esegue determinate operazioni, come la visualizzazione di pubblicità, la raccolta di informazioni personali o la modifica della configurazione del computer, in genere senza prima richiedere la tua autorizzazione. Lo spyware è spesso associato ad altro software per la visualizzazione di pubblicità (definito "adware") o per la registrazione di informazioni personali o riservate.

Un trojan o trojan horse (dall'inglese per Cavallo di Troia) è un tipo di malware. Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

Passiamo ora alla disinfezione. E' importante:
> agire seguendo l'ordine qui proposto
> aggiornare le definizioni virus prima di scansionare
> effettuare sempre la scansione completa
> effettuare le necessarie scansioni sempre in modalità provvisoria

Kaspersky Lab mette a disposizione uno strumento completamente gratuito, fruibile via web, battezzato Kaspersky Virus Removal Tool e conosciuto col nome di AVPTool. AVPTool consente di effettuare scansioni antivirus ed antimalware con la possibilità di rimuovere le infezioni eventualmente rilevate; risulta configurabile secondo le proprie esigenze ed è dotato di un motore di scansione che si può basare anche sull'euristica.
IMPORTANTE: AVPTool non è aggiornabile. Se si esegue AVPTool nel corso dei giorni successivi alla data di prelievo, il programma mostra un messaggio d'allerta informando l'utente che le firme virali sono da considerarsi obsolete. Sarete quindi costretti a scaricare nuovamente l'intero pacchetto d'installazione di AVPTool (pesante 70-80 MB).

PAGINA WEB UFFICIALE: http://avptool.virusinfo.info/en/

Malwarebytes Anti-Malware è un software molto leggero e di semplice utilizzo che consente di proteggere il proprio pc dalle minacce in circolazione (virus, worm, trojan, rootkit, dialer, spyware e malware di ogni genere). La versione gratuita del software permette di rimuovere i malware rilevati ma non consente l'utilizzo della protezione in tempo reale. Se non si riesce ad aggiornare il programma è possibile prelevare manualmente dal sito web del produttore le definizioni antimalware aggiornate.

PAGINA WEB UFFICIALE: www.malwarebytes.org/mbam.php
DEFINIZIONI VIRUS AGGIORNATE: DOWNLOAD

A-squared è un programma della Emisoft in grado di riconoscere più di un milione di minacce malware di ogni genere. La versione "free" integra due motori di scansione, uno sviluppato da EmiSoftware, l'altro da una società austriaca specializzata. Rispetto alla versione professionale, a pagamento, a-squared free manca del controllo in background e del meccanismo di protezione basato sull'analisi comportamentale.

PAGINA WEB UFFICIALE: www.emsisoft.com/en/software/antimalware/

Prodotto eccezionale, molto efficace, leggero, a volte "eccessivamente sicuro", nel senso che potrebbe rilevare molti falsi positivi, ed innovativo in quanto si basa sul Community Based Intrusion Prevention System (Sistema di prevenzione delle intrusioni su base comunitaria), cioè si collega ad un database comune creato dalle esperienze degli utilizzatori che sono ormai centinaia di migliaia oltre che dal team di sviluppo.
Nella versione free Prevx riesce ad individuare qualunque tipo di minaccia eventualmente presente sul sistema, tuttavia, fatta eccezione per gli adware e i rootkit che infettano il MBR, sarà necessario acquistare una licenza per provvedere all'eliminazione dei malware.

PAGINA WEB UFFICIALE: www.prevx.com/

HijackThis è un programma di dimensioni molto contenute che permette di raccogliere le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi come spyware, hijackers e malware in generale. Il vantaggio principale consiste nella possibilità di creare automaticamente un file di testo (log) che riassuma in modo particolareggiato la configurazione del sistema. In particolare, il file di log registra la configurazione e lo stato di tutte le aree del sistema operativo utilizzate dai malware per svolgere le loro pericolose attività. Analizzando il log restituito da HijackThis è quindi possibile individuare immediatamente la presenza di un componente ostile sul sistema e procedere subito alla sua eliminazione.
ATTENZIONE: Non cancellare per nessun motivo gli elementi dei quali non si conosce l'esatto significato. Il mio consiglio è quello di utilizzare Hijackthis semplicemente come uno strumento per rilevare eventuali minacce oppure per controllare se il sistema è pulito dopo aver effettuato le precedenti scansioni. Prudenza!

PAGINA WEB UFFICIALE: http://free.antivirus.com/hijackthis/?page=hijackthis
LIBRERIA DEI PROCESSI AFFIDABILI: www.processlibrary.com/it/
ANALISI LOG ONLINE:
1. HijackThis.de Logfile Analyzer
2. HijackThis Log Auto Analyzer V2
3. Help2Go Detective

Edited by Hack3rMinD - 28/10/2010, 13:53

Hack3rMinD

Posted on 7/7/2010, 08:40

User deleted

Spesso i programmi sopra elencati non permettono una completa rimozione di tutte le tracce lasciate dal virus nel nostro sistema o addirittura, nei casi più gravi, non riescono ad agire in maniera corretta, lasciando il nostro pc infetto. Ecco che ci vengono in aiuto i vari produttori di antivirus con dei tools specifici di rimozione, da eseguire rigorosamente in modalità provvisoria. E' importante anche disabilitare il ripristino configurazione di sistema; infatti se il pc viene infettato da un virus, è possibile che venga eseguita una copia di backup del virus stesso nella cartella utilizzata dal ripristino. Windows impedisce che questa cartella venga modificata da programmi esterni: quindi anche se facciamo una scansione con l'antivirus, questo non può andare a rilevare e cancellare i possibili virus salvati in questa cartella.

SmitFraudFix: rimuove false applicazioni anti-spyware che utilizzano falsi avvisi di sicurezza DOWNLOAD

SDFix: rimuove i virus alert e numerosi rootkit DOWNLOAD

Look2Me-Destroyer: elimina il Trojan look2me, difficile da eliminare in quanto applica tecniche di rootkit DOWNLOAD

VundoFix: rimuove molte delle varianti conosciute di Trojan.Vundo, Trojan.Conhook e altre infezioni simili DOWNLOAD

Navilog1: rimuove infezioni da alcuni tipi di malware che provocano l'apertura di popup indesiderati e falsi avvisi di protezione DOWNLOAD

Lop S&D: elimina Lop/CiD/Trojan Swizzor DOWNLOAD

EliBaglA: Il worm Bagle rimuove o danneggia Antivirus e Firewall e qualsiasi altro software per la protezione del sistema, impedisce l'accesso a qualsiasi eseguibile e in alcuni software, soprattutto nei software antivirus, darà un errore di sistema ("Win32 è un'applicazione non valida"). La modalità provvisoria (Safe Mode) viene bloccata così l'utente non ha la possibilità di eseguire delle scansioni. Nei peggiori dei casi, il bagle potrebbe disattivare pure qualche Drivers, come l'audio o semplicemente farà riavviare il pc molto spesso. Rallenta vistosamente la velocità del Pc agendo sulla Memoria Ram e impedisce agli utenti di accedere ai siti dei piu famosi antivirus e a tutti i siti microsoft. Tutte le chiavette usb e le schede di memoria che vengono inserite nel pc infetto vengono automaticamente infettate DOWNLOAD

FindyKill: altro tool per il worm Bagle e non solo DOWNLOAD

Gromozon/Linkoptimizer: I sintomi sono principalmente rallentamenti del computer, errori interni negli antivirus ed in alcune applicazioni come Autocad, riavvii del pc, reindirizzamento a pagine web non desiderate DOWNLOAD

Master Boot Record (MBR) Rootkit virus molto pericoloso che sfruttando tecniche di Rootkit si annida nell'MBR (Master Boot Record), rendendosi invisibile a qualsiasi scansione antivirus
Stealth MBR rootkit detector DOWNLOAD
Norman SinowalMBR Cleaner DOWNLOAD

Conficker/Downup/Downadup/Kido: I sintomi sono: impossibile fare aggiornamenti di Windows (Windows Update); Windows Defender disattivato; la rete è congestionata, impossibile caricare anche delle semplici pagine web; gli accessi ai siti relativi agli antivirus sono bloccati DOWNLOAD1 DOWNLOAD2

Msn Photo virus remover: programma molto semplice che esegue la scansione del sistema alla ricerca di virus presi attraverso msn DOWNLOAD

MsnCleaner: rimuove virus presi tramite msn DOWNLOAD

Clean Virus MSN: studiato appositamente per Msn Messenger, capace di eliminare più di 1500 virus DOWNLOAD

Edited by Hack3rMinD - 9/7/2010, 08:38

Hack3rMinD

Posted on 7/7/2010, 18:05

User deleted

Rispetto ai più noti scanner antimalware che ho indicato (malwarebytes' anti-malware, a-squared, prevx), HijackThis è un semplice programma che agisce secondo un approccio completamente diverso, concentrandosi sulle chiavi di esecuzione, sulle applicazioni in avvio automatico, sulla pagina iniziale e ad altre impostazioni del browser, che l’integrazione di Internet Explorer in Windows confonde pericolosamente con le Opzioni Internet del sistema, passando per componenti aggiuntivi ed applicazioni sconosciute.

Ecco come si presenta la pagina di configurazione:

Sezione Main: racchiude i settaggi fondamentali e le impostazioni di IE, si consiglia di lasciare tutto di default

Sezione IgnoreList: contiene la lista degli elementi che il programma deve ignorare durante la scansione

Sezione Backups: lista di tutti gli elementi bloccati, da utilizzare quando si elimina per sbaglio un elemento innocuo e spesso fondamentale per il funzionamento di Windows

Sezione Misc Tools:
> Open process manager: una specie di Task Manager con la possibilità di terminare processi considerati Malware
> Open Hosts file manager: praticissimo tool con cui potete verificare la struttura del file Hosts e modificarlo direttamente da hijackthis
> Delete a file on reboot: spesso potete incontrare dei file la cui cancellazione attraverso i mezzi convenzionali viene negata in quanto utilizzati, a tale proposito Hijckthis permette la cancellazione di questi file al riavvio del S.O.
> Delete an NT service: utility per eliminare un servizio (da usare con cautela)
> Open ADS Spy: Molti malware utilizzano dei file di tipo ADS per infettare il vostro sistema ed impedire ai normali programmi di sicurezza la loro eliminazione. Hijackthis vi permette di rimuoverli (togliete la spunta da "Quick Scan" e da "Ignore safe system info streams" prima di scansionare)

> Open uninstall manager: utile strumento per installare/disinstallare programmi

R0, R1, R2, R3 - Pagina iniziale / motore di ricerca predefinito di Internet Explorer
Aree del sistema prese di mira dagli hijackers che sostituiscono indirizzi Internet di siti web a carattere pornografico, pubblicitario, illegale, osceno alla home page ed ai motori di ricerca impostati sul sistema.

F0, F1 - Programmi avviati automaticamente da system.ini/win.ini

N1, N2, N3, N4 - Pagina iniziale/motore di ricerca predefinito di Netscape

O1 - Reindirizzamento tramite file HOSTS
Voce molto insidiosa poiché si tratta di modifiche effettuate direttamente nel file hosts, presente in C:\Windows\system32\etc\drivers\hosts e pesante pochi kb. Inquinandolo con rimandi a siti più o meno pericolosi, si devia la navigazione non solo di IE, ma in questo caso di tutti i programmi con accesso alla rete. Se non siete stati voi ad aggiungerli modificando a mano il file hosts, cancellate senza indugio le voci corrispondenti.

O DA 2 A 16: Le sigle con O seguita da un numero compreso fra 2 e 16 sono meno pericolose, qui finiscono tutti i componenti aggiuntivi per IE, a partire da quelle inutili toolbar installate da tanti utenti alle prime armi.

* O2 - Browser Helper Objects (li abbiamo conosciuti nella scorsa uscita della mailing list)
* O3 - Barre degli strumenti di Internet Explorer
* O4 - Programmi avviati automaticamente dal Registro di sistema
* O5 - Opzioni di IE non visibili nel Pannello di controllo
* O6 - Opzioni di IE il cui accesso è stato negato da parte dell'amministratore
* O7 - Accesso al registro di sistema negato da parte dell'amministratore
* O8 - Oggetti "extra" inseriti nel menù contestuale (quello che compare cliccando con il tasto destro del mouse) di Internet Explorer
* O9 - Oggetti "extra" nella barra degli strumenti di Internet Explorer o nel menù "Strumenti" del browser
* O10 - Winsock hijacker
* O11 - Gruppi aggiuntivi nella finestra "opzioni avanzate" di IE
* O12 - Plug-in di IE
* O13 - IE DefaultPrefix hijack
* O14 - 'Reset Web Settings' hijack (modifiche della configurazione di Internet Explorer)
* O15 - Siti indesideati nella sezione "Siti attendibili" di IE
* O16 - Oggetti ActiveX (alias "Downloaded Program Files")

Sigle da 017 in su: molto pericolose perché prendono di mira i parametri vitali del sistema

* O17 - Lop.com domain hijackers
* O18 - Protocolli "extra" e protocol hijackers
* O19 - User style sheet hijack
* O20, O21, O22 - Programmi eseguiti automaticamente all'avvio di Windows tramite particolari chiavi del registro
* O23 - Servizi di sistema (NT/2000/XP/2003) sconosciuti

Prima di effettuare qualsiasi azione è utile consultare i seguenti siti

LIBRERIA DEI PROCESSI AFFIDABILI: www.processlibrary.com/it/

MODULI E PROCESSI DI AVVIO AUTOMATICO: www.sysinfo.org/startuplist.php

ed eseguire delle analisi online tramite i seguenti strumenti:

HijackThis.de Logfile Analyzer

HijackThis Log Auto Analyzer V2

Help2Go Detective

ATTENZIONE: i risultati ottenuti da tali analisi sono indicativi ed abbastanza affidabili, ma non sempre esenti da errori!

Edited by Hack3rMinD - 9/7/2010, 08:37

Hack3rMinD

Posted on 8/7/2010, 10:49
Like

.

User deleted

...

.
Hack3rMinD

Posted on 8/7/2010, 17:10
Like

.

User deleted

...

.

Hack3rMinD

Posted on 8/7/2010, 21:51

+1 Like

User deleted

Postate qui problemi relativi ad antivirus, sicurezza online, rimozione virus ed eventuali log di hijackthis.

Edited by Hack3rMinD - 10/7/2010, 23:52

contino

Posted on 13/9/2010, 20:51

User deleted

Hacker ti allego il mio log di hijackthis

File Allegato